1 ©2023云安全联盟大中华区版权所有 2关于云安全联盟 云安全联盟(CSA)是一个非营利组织,旨在促进和推广云计算的最佳实践,并提供行 业内的安全保证。此外,云安全联盟提供云计算使用的教育,以帮助确保其他形式的计 算安全。云安全联盟是由一个行业从业者、企业、协会和其他主要利益相关者组成的广 泛联盟领导。。欲了解更多信息,请访问www.cloudsecurityalliance.org,并关注我们的 Twitter账号@cloudsa。 @2023云安全联盟大中华区-保留所有权利。你可以在你的电脑上下载、储存、展示、查看 及打印,或者访问云安全联盟大中华区官网(https://www.c-csa.cn)。须遵守以下:(a)本文 只可作个人、信息获取、非商业用途;(b)本文内容不得篡改;(c)本文不得转发;(d)本文商 标、版权或其他声明不得删除。请在遵循中华人民共和国著作权法相关条款情况下合理使用 本文内容,使用时请注明引用于云安全联盟大中华区。 ©2023云安全联盟大中华区版权所有 3 ©2023云安全联盟大中华区版权所有 4致谢 报告中文版支持单位 腾讯云鼎实验室成立于2016年,是腾讯安全旗下的顶级实验室之一。秉承“一 切以用户价值为依归”的理念,云鼎实验室坚持研究创新和实践落地并重的技术 路线,专注于云安全技术研究和创新工作,在大规模云安全防护和治理、云原生 安全技术、密码学和云数据安全、容器和虚拟化安全、硬固件和基础设施安全等 多个领域展开技术研究和产品创新工作。云鼎实验室同时也负责腾讯云平台自身 的安全建设、防护和治理工作,通过安全治理体系建设、持续性安全攻防对抗、 大数据安全运营平台、和云原生安全托管服务(Cloud-MSS)持续保障腾讯云平 台及云上数百万租户的安全。 腾讯是CSA全球会员单位,支持该报告内容的翻译,但不影响CSA研究内 容的开发权和编辑权。 主要贡献专家: 李鑫、高瑞强 ©2023云安全联盟大中华区版权所有 5报告英文版编写专家 贡献者: DinaAgafonov DanielBegimher TonyDaskalo GidiFarkash MosheFerber MichaelRoza YuvalSegev OmriSegevMoyalDanaTsymberg ZurUlianitzky 审校者: OrenElimelech EyalEstrin PatrickGaw ChrisKirschke MauricioMendozaClavero VenuReddy EitanSatmary YuvalSinay PetervanEijk KobiZvirsh CSA全球员工: FrankGuanco ClaireLehnert StephenLumpe 在此感谢以上专家。如译文有不妥当之处,敬请读者联系CSAGCR秘书处给予雅正! 联系邮箱research@c-csa.cn;国际云安全联盟CSA公众号。 ©2023云安全联盟大中华区版权所有 6 序言 随着云计算技术的迅猛发展,越来越多的组织将数据和业务迁移到云平台上,享受 着云计算带来的弹性、可扩展和便捷的优势。在云环境中,IaaS(基础设施即服务)和 PaaS(平台即服务)作为两种常见的云服务模型,为组织提供了强大的托管应用程序和 基础设施的能力。然而,云计算环境也面临着来自不断演化的网络威胁和攻击的挑战。 本白皮书旨在针对IaaS和PaaS服务模型,详细梳理常见的云攻击向量,并通过与 相关的CSA研究和其他威胁模型对应,将这些攻击向量一一列举出来。本文包含八个与 IaaS和PaaS相关的攻击向量,涵盖了工作负载、存储等方面的错误配置或漏洞。 我们意识到,尽管风险、威胁和漏洞的数量和重要性不断上升,但使用的攻击向量 相对稳定。因此,通过深入了解这些攻击向量,组织可以更好地理解针对云托管应用程 序和基础设施的常见攻击方式,并明确在控制和安全工作中需要重点关注的领域。 相信通过阅读本白皮书,组织将能够深入了解这些重要的云攻击向量,并为保护其 在云环境中的应用程序和基础设施做出明智的决策。我们希望本白皮书对于提高云安全 意识、加强防御措施以及规避潜在威胁带来积极的促进作用。 李雨航YaleLi CSA大中华区主席兼研究院院长 ©2023云安全联盟大中华区版权所有 7目录 致谢...............................................................................................4 序言...............................................................................................6 简介...............................................................................................8 本文档的目的................................................................................8 文件结构和范围.............................................................................8 目标受众.....................................................................................9 IaaS和PaaS云攻击向量......................................................................9 1:可利用的工作负载.........................................................................11 2:工作负载权限过高.........................................................................14 3:不安全的密钥、凭证和应用密钥........................................................17 4:可利用的身份验证或授权................................................................21 5:未经授权访问对象存储...................................................................25 6:第三方跨环境/账户访问..................................................................29 7:不安全/未加密的快照及备份............................................................33 8:受损镜像....................................................................................37 结语..............................................................................................40 延伸阅读........................................................................................41 ©2023云安全联盟大中华区版权所有 8简介 我们在不断加深对云上风险和威胁的认识与发展过程中,CSA顶级威胁等工作组以 及其他组织为我们对这一主题的了解和理解作出了巨大贡献。我们尽管已经记录了许多 对业务产生广泛影响的风险和威胁,但还是发现其中许多风险和威胁只利用到了少量的 攻击向量。这正是本项研究的主题所在。 为了进行本项研究,我们首先回顾了近期大量IaaS与PaaS相关的安全事件,并将 这些事件的细节细化为实际利用的攻击向量。我们使用CSA顶级云安全威胁案例、 MITRE相关分析以及之前对云事件的研究,尽可能多的分析安全事件。 在我们制定了完整的向量列表后,我们邀请了一批在云攻击方面经验丰富的专业人 士。我们利用我们的集体经验将不同的个体分组,成为一组八个的主要攻击向量,我们 发现它们在各种攻击场景中都非常有效。 本文档的目的 本研究的目标是梳理常见的IaaS/PaaS攻击向量并逐一列举,与相关的CSA研究和 其他威胁模型对应。通过阅读本文档,组织将更好地了解针云托管应用程序和基础设施 的攻击中常用攻击向量,并制定在控制和安全工作上应该重点关注的领域。 文件结构和范围 该文档由八个与IaaS/PaaS相关的攻击向量组成。每个向量章节包括两部分: •主要部分包括以下内容:向量的定义和描述、利用方式、如何避免或减轻该向 量的关键要点、利用该向量的示例 • CSA和非CSA框架的攻击向量映射,在本项研究中将会提供更多深入的见解以 及相关控制措施。映射包括: •将攻击向量映射到MITRE中的相关技术或缓解措施 •将攻击向量映射到责任共担模型-将相关攻击向

pdf文档 CSA 了解云攻击向量

文档预览
中文文档 41 页 50 下载 1000 浏览 0 评论 0 收藏 3.0分
温馨提示:本文档共41页,可预览 3 页,如浏览全部内容或当前文档出现乱码,可开通会员下载原始文档
CSA 了解云攻击向量 第 1 页 CSA 了解云攻击向量 第 2 页 CSA 了解云攻击向量 第 3 页
下载文档到电脑,方便使用
本文档由 SC 于 2023-10-28 06:37:16上传分享
站内资源均来自网友分享或网络收集整理,若无意中侵犯到您的权利,敬请联系我们微信(点击查看客服),我们将及时删除相关资源。